rehacked -hilfe!

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von martin05, 12. August 2005 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. #1 12. August 2005
    hi,

    ich hoffe mir kann jemand helfen und zwar wurde ein stro eines bekannten rehacked.
    das file was mit fport erstellt wurde gibt folgendes aus:
    Code:
    Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time
    Idle 0 0 2 0 16 0:00:00.000 43:07:47.906 0:00:00.000
    System 4 8 83 13569 220 0:00:00.000 0:01:47.640 0:00:00.000
    smss 672 11 3 18 448 0:00:00.015 0:00:00.046 44:25:47.296
    csrss 776 13 14 1200 7336 0:00:04.234 0:00:06.125 44:25:44.015
    winlogon 816 13 21 625 11032 0:00:04.406 0:00:07.531 44:25:43.125
    services 860 9 18 443 12320 0:00:13.078 0:00:14.828 44:25:42.921
    lsass 896 9 56 1076 39356 0:04:48.984 0:01:15.640 44:25:42.843
    svchost 1104 8 6 83 4100 0:00:00.031 0:00:00.031 44:25:41.718
    svchost 1496 8 10 279 4836 0:00:01.812 0:00:04.234 44:25:25.000
    svchost 1572 8 10 148 8184 0:00:01.250 0:00:00.671 44:25:24.890
    svchost 1628 8 14 163 5552 0:00:00.765 0:00:00.937 44:25:24.859
    svchost 1640 8 49 1038 23892 0:00:45.250 0:00:48.265 44:25:24.843
    brsvc01a 1268 8 3 29 3076 0:00:00.000 0:00:00.000 44:24:37.140
    brss01a 1296 8 1 27 3488 0:00:00.046 0:00:00.015 44:24:37.125
    LEXBCES 1304 8 9 144 5136 0:00:00.000 0:00:00.062 44:24:37.125
    spoolsv 1360 8 30 304 14552 0:00:03.625 0:00:07.515 44:24:37.109
    LEXPPS 1388 8 10 88 4748 0:00:00.000 0:00:00.015 44:24:37.031
    SpntSvc 1444 8 19 121 5844 0:00:06.453 0:16:38.015 44:24:37.000
    StWatchDog 2028 8 3 46 1900 0:00:00.000 0:00:00.000 44:24:28.843
    StOPP 560 8 4 42 2376 0:00:00.015 0:00:00.000 44:24:23.828
    msdtc 592 8 23 175 5880 0:00:00.281 0:00:00.078 44:24:23.671
    appmgr 732 8 4 108 5488 0:00:00.015 0:00:00.062 44:24:22.375
    aspnet_stat 736 8 4 55 3572 0:00:00.015 0:00:00.062 44:24:22.359
    cisvc 944 8 22 413 2320 0:01:32.531 0:00:38.953 44:24:22.296
    dfssvc 1160 8 12 135 8228 0:00:00.656 0:00:00.531 44:24:22.250
    dns 1180 8 14 187 5828 0:00:04.515 0:00:01.734 44:24:22.218
    EarthAgent 1256 8 18 140 7216 0:04:03.640 0:12:26.296 44:24:22.156
    elementmgr 1836 8 3 90 7004 0:00:00.062 0:00:00.046 44:24:21.375
    svchost 1864 8 2 56 3824 0:00:01.390 0:00:01.312 44:24:21.375
    inetinfo 1972 8 27 615 16632 0:00:01.046 0:00:00.593 44:24:21.328
    ismserv 2056 8 11 287 7552 0:00:00.062 0:00:00.109 44:24:21.312
    LogWatNT 2080 8 2 24 1632 0:00:00.000 0:00:00.000 44:24:21.312
    mdm 2100 8 5 69 2920 0:00:00.031 0:00:00.015 44:24:21.296
    MSIntskmngr 2140 8 7 66 9308 0:00:00.109 0:00:00.031 44:24:21.250
    sqlservr 2292 8 41 407 74236 0:01:52.812 0:04:34.062 44:24:20.484
    ntfrs 2308 8 21 313 1792 0:00:03.000 0:00:03.859 44:24:20.406
    ofcservice 2400 8 21 280 12860 0:00:21.218 0:00:05.453 44:24:19.953
    svchost 3048 8 2 56 3344 0:00:00.000 0:00:00.046 44:24:04.062
    explorer 3064 8 57 290 9080 0:00:00.078 0:00:00.328 44:24:03.937
    saldm 3120 8 4 251 12992 0:00:00.687 0:00:00.234 44:24:03.359
    srvcsurg 3196 8 3 89 6248 0:00:00.015 0:00:00.031 44:24:02.859
    svchost 3240 8 15 218 6784 0:00:00.015 0:00:00.046 44:24:02.828
    lserver 3252 8 15 211 15892 0:00:00.890 0:00:00.921 44:24:02.796
    mssearch 3468 8 7 158 1164 0:00:00.015 0:00:00.046 44:24:02.328
    svchost 3612 8 15 169 8776 0:00:00.140 0:00:00.062 44:24:02.125
    svchost 2364 8 23 204 9484 0:00:00.156 0:00:00.109 44:23:45.015
    wmiprvse 2748 8 8 324 15168 0:01:21.531 0:00:31.562 44:23:44.656
    explorer 3924 8 8 303 18268 0:00:14.375 0:01:11.000 44:22:55.953
    nwtray 2916 8 4 43 5400 0:00:00.031 0:00:00.015 44:22:48.859
    LXSUPMON 1172 8 3 39 5616 0:00:02.265 0:00:00.453 44:22:48.781
    fpassist 3132 8 1 25 1916 0:00:00.093 0:00:00.156 44:22:48.703
    pptd40nt 4120 8 2 15 1480 0:00:00.000 0:00:00.000 44:22:48.468
    jusched 4160 8 1 24 3652 0:00:00.000 0:00:00.015 44:22:48.125
    ConAktiv Se 4264 8 1 102 140548 17:54:07.203 25:50:27.609 44:22:46.187
    sqlmangr 4268 8 2 66 4336 0:00:04.343 0:00:11.937 44:22:46.140
    tsdc 4280 8 1 29 2344 0:00:00.046 0:00:00.000 44:22:45.828
    cidaemon 1960 4 4 156 2012 0:15:59.359 0:03:06.593 44:17:13.468
    cidaemon 1120 4 2 90 9188 0:01:00.484 0:00:03.734 44:17:10.828
    cidaemon 4320 4 4 121 5176 0:00:07.984 0:00:01.062 44:16:58.250
    cmd 4684 8 1 23 1560 0:00:00.000 0:00:00.015 38:07:49.468
    NAVAPSVC16. 4400 8 245 1257 7012 0:00:21.937 0:01:19.093 38:07:49.406
    logon.scr 4740 4 1 16 1632 0:00:00.000 0:00:00.000 19:07:16.875
    cmd 7808 8 1 23 2596 0:00:01.421 0:00:06.265 0:00:45.156
    HIDDEN32 7264 8 1 15 1656 0:00:00.000 0:00:00.015 0:00:30.000
    cmd 4804 8 1 24 1612 0:00:00.000 0:00:00.031 0:00:16.171
    wmiprvse 7680 8 9 137 5408 0:00:00.171 0:00:00.046 0:00:14.000
    pslist 6060 13 1 100 2016 0:00:00.000 0:00:00.031 0:00:00.062
    wer weiss, welches davon die serv-u dateien des rehackers sind? ?(
     

  2. Anzeige
  3. #2 12. August 2005
    Das is nen log von pslist und nich von fport...

    Sag deinem Kollegen mal dass er mit fport ne Liste machen soll, weil da der Pfad mit angezeigt wird. Das is son Gewirr, da isses schwer was zu finden.

    Was mir jetzt mal so direkt ins Auge springt ist "HIDDEN32", frag dein Kollegen mal ob er das gerade nutzt. Das ist zwar kein Server, aber über den Pfad könnte man vielleicht an den rankommen.

    Des weiteren soll dein Kollege mal mit dem Befehl "netstart" ne Liste der Services anfordern und sie hier posten.
     
  4. #3 12. August 2005
    dieser "rehacker" könnte ja der admin sein, den so wie ich dich einschätz liegt deine servuadeamon.exe in system32 is nich hided und der service heist serv-u... aber des nur mal so btw...

    und wer keine backdoor installed is selba schuld


    edit : bzw MSIntskmngr 2140 8 7 66 9308 0:00:00.109 0:00:00.031 44:24:21.250 <-- servu
    tsdc 4280 8 1 29 2344 0:00:00.046 0:00:00.000 44:22:45.828 <-- backdoor
    HIDDEN32 7264 8 1 15 1656 0:00:00.000 0:00:00.015 0:00:30.000 <-- is wohl klar ne scannt einer o.ä.



    wenn de noch ne shell hast (sqlexec) gib ma her dann hol ichs dir zurück und secure mal richtig


    des weiteren
    <-- :poop:it es heist "net start"
     
  5. #4 12. August 2005
    sicher das da serv-u dateien daruf sind ? sieht mehr so aus als würde der zum scannen benutzt... kann mich aber auch irren. sind auch nich viele services die neu gestartet wurden.
    nach der log wurde HIDDEN32 30 mins gestartet bevor die pslist gemacht wurde.
     
  6. #5 12. August 2005
    lol ? msinst bla is 100pro ne servu auserdem welche honk macht sich nen scanny ohne servu ? hm ? du ?
     
  7. #6 12. August 2005
    Erstmal danke für alle Antworten. :]
    Mein Bekannter nutzt ne gemoddete Serv-u also da sieht man nichts mehr, dass es Serv-U ist. :)
    Sein Prozess also die Zeile wurde auch hier weggelassen, da man diese ja ausschließen kann. 8)

    Die Hidden32, ja, er scannt grad was, das ist also sein Prozess. :]

    @moep_rush
    Biste dir da sicher? Dann könnte er das ja killen. 8)

    Definitiv nein, da die Ordner des Rehackers und sein Stuff gefunden wurden. :D

    Wurde leider schon secured (SQL_Error).

    Auch hier biste dir sicher?

    @firefighter
    Code:
    Sag deinem Kollegen mal dass er mit fport ne Liste machen soll, weil da der Pfad mit angezeigt wird. Das is son Gewirr, da isses schwer was zu finden.
    Hmm, hat er versucht, aber das legt keine txt an. :O
    [Edit: ] You must have administrator privileges to run fport - exiting...[Edit-Ende]

    Code:
    Des weiteren soll dein Kollege mal mit dem Befehl "netstart" ne Liste der Services anfordern und sie hier posten.
    Wie bekommt man die in eine txt? ?(

    Edit:
    Mein Bekannter hat ja auch ne Backdoor eingerichtet.... sieht man eigentlich oben welcher Port für Serv-U und für die Backdoor verwendet wird?
     
  8. #7 13. August 2005
    1.) vlt wars alter stuff nach datum gucken

    2.) auch mit sql error kann ich dir den hacken shick axx per PM

    3.) mit den prozessen bin ich sicher..msintaskmgr is ne alt bekannte public modded servu....

    4.)fport.exe >> ports.log
    type ports.log dann stehts da

    5:) net start >> serv.log
    type serv.log


    mfg moep
     
  9. #8 13. August 2005
    Musst ja nich gleich rumheulen wenn mal jemand nen Leerzeichen vergisst...Oberhacker.
     
  10. #9 13. August 2005
    zu 1: War nix alt, die Ordner waren erst n paar Tage alt.

    zu 2: Hast du SqlBrower und könntest es mir geben? *selber probieren will* :]

    zu 3: gut, dann muss ich schaun, wie man die per RAW-Comand killen kann, außer ich kann wieder ne Shell per SqlBrower machen. 8)

    zu 4: Leider sagt fport folgendes:
    deshalb nach deiner Methode nicht probiert (kann ich aber machen)

    zu 5: werd ich probieren. :]

    Hoffe 4 und 5 geht auch per RAW-Command? ?(

    Nochmals Danke für die Hilfe. :]
     
  11. #10 13. August 2005
  12. #11 13. August 2005
    Was will ich denn damit?! :rolleyes:
    Ich glaub du kennst den Unterschied zw. SqlBrower und SqlBrowser nicht! :)
    Solltest mal die Suchfunktion nutzen! :O
     
  13. #12 14. August 2005
    Um mal wieder auf das Problem hier zurück zu kommen.......

    Warum kann ich per SQLExec auf nen Server connecten, aber SQLBrower (ohne "s") kann nicht connecten? ;(
    Da ja SQL_Error, bringt mir also SQLExec in diesem Fall nix. :O
     
  14. #13 14. August 2005
    MSIntskmngr wir der shit immernoch benutzt...grr...

    hat dein freund nen backdoor druff?

    melde dich mal per pn...
     
  15. #14 14. August 2005
    Du hast PN!

    @all
    Bitte weiterhin um Hilfe. :]
     
  16. #15 16. August 2005
    Ich brauch noch Hilfe, es ist noch nicht überstanden! :O
     
  17. #16 29. August 2005
    Also kann hier definitv keiner weiterhelfen? :(
     

  18. Videos zum Thema